2020年1月未加密数据库暴露2.01亿条个人记录，所有者至今无法确认

【导语】2020年1月，安全研究员Bob Diachenko发现一个未加密的Elasticsearch数据库在公网上完全暴露，内含2.01亿条个人记录，涵盖姓名、电子邮箱、住址及IP地址等敏感信息。更令人关注的是，这一数据库的所有者至今无法确认，数据最终命运无从追踪。

Bob Diachenko是Comparitech的安全研究负责人，长期追踪公开暴露的数据库安全事件。1月20日左右，他在Shodan搜索引擎上发现该Elasticsearch数据库，其未设置任何身份认证机制，任何人只需知道IP地址便可直接访问全部数据。数据库包含约2.01亿条记录，每条记录含个人姓名、邮件地址、收件地址、电话号码、IP地址等多维度信息，信息粒度足以用于精准的网络钓鱼或身份盗用攻击。

据Diachenko发布的博客分析，数据库所存储数据的来源异常模糊——既非知名电商平台，也非公开政府数据库，且数据格式与常见的泄露数据集存在差异。他向有关ISP报告后，该数据库于数日内下线，但数据在此之前是否已被第三方下载、是否已流入暗网，均无法核实。数据隐私律师Whitney Merrill评论称，这类”无主数据库”事件是数据安全领域最令人不安的现象之一，”你不知道你的数据在谁手里，甚至不知道已经泄露了多少次”。

展望未来，全球日益严格的数据保护法规（如GDPR和即将施行的个人信息保护法）对数据控制者的问责机制提出更高要求。企业必须将数据库安全配置纳入DevSecOps流程，确保”默认安全”而非”默认暴露”，方能从根本上减少此类事件的发生。

本文由龙小新newer整理撰写，首发于信卜蜂。转载请注明出处。